Légal
Politique de confidentialité
Dernière mise à jour : 7 mai 2026
1. Responsable du traitement
SignaMail (bonjour@signamail.fr) est responsable du traitement de vos données personnelles au sens du RGPD (Règlement Général sur la Protection des Données, UE 2016/679) et de la loi Informatique et Libertés.
2. Données collectées
SignaMail collecte les données suivantes :
- Données de compte : adresse email, prénom, nom, mot de passe (haché par Supabase Auth, jamais en clair), entreprise, numéro de téléphone (facultatif).
- Données de signature et carte pro : informations professionnelles que vous saisissez volontairement (titre, fonction, URL, réseaux sociaux, photo, adresse postale).
- Données d'usage : statistiques de consultation des cartes pro publiques (vues, clics, téléchargements vCard), referrer HTTP, user-agent. Aucune adresse IP n'est stockée.
- Données analytiques produit : événements anonymes de navigation et de fonctionnalité (pageview, clics agrégés). Aucun cookie persistant (mode cookieless PostHog).
- Données de facturation : informations de paiement traitées exclusivement par notre prestataire Stripe (nous ne stockons jamais vos numéros de carte bancaire).
3. Finalités et bases légales
| Finalité | Base légale (RGPD) |
|---|---|
| Fourniture du service SignaMail | Art. 6.1.b - exécution du contrat |
| Facturation et gestion des abonnements | Art. 6.1.b - exécution du contrat |
| Statistiques d'usage agrégées et anonymisées | Art. 6.1.f - intérêt légitime |
| Emails transactionnels (compte, alertes) | Art. 6.1.b - exécution du contrat |
| Amélioration du produit | Art. 6.1.f - intérêt légitime |
| Obligations légales et comptables | Art. 6.1.c - obligation légale |
4. Durée de conservation
- Données de compte actif : pendant la durée d'utilisation du service.
- Données après résiliation : 30 jours (récupération possible), puis suppression définitive.
- Données de facturation : 10 ans (obligation légale comptable, art. L123-22 Code de commerce).
- Logs de sécurité : 12 mois.
- Codes OTP de vérification email : 10 minutes maximum.
- Statistiques cartes pro : 24 mois glissants.
5. Hébergement et localisation des données
Vos données sont hébergées principalement en Europe :
- Application web (rendu, API) - Vercel, région Paris (cdg1, France).
- Base de données utilisateurs - Supabase, région Ireland (eu-west-1, Espace Économique Européen).
- Stockage fichiers (logos, photos) - Supabase Storage, région Ireland.
- Analytique produit - PostHog, région Allemagne (eu.posthog.com, Francfort).
6. Sous-traitants et transferts hors UE
Certains services tiers basés hors UE peuvent traiter vos données pour des finalités précises. Les transferts sont encadrés par les clauses contractuelles types de la Commission européenne ou le Data Privacy Framework (DPF, successeur du Privacy Shield invalidé en 2020).
| Sous-traitant | Finalité | Région | Garanties |
|---|---|---|---|
| Vercel Inc. | Hébergement web (compute Paris, edge global) | États-Unis (siège), France (compute) | DPF + clauses types |
| Supabase Inc. | Base de données et authentification | États-Unis (siège), Ireland (data) | DPF + clauses types |
| PostHog | Analytique produit anonyme | Royaume-Uni (siège), Allemagne (data) | Hébergement EU + clauses types |
| Stripe | Traitement des paiements | Irlande (UE) + États-Unis | DPF + clauses types |
| Resend | Emails transactionnels | États-Unis | DPF + clauses types |
Aucune donnée n'est vendue, partagée à des fins publicitaires, ou exploitée par des courtiers en données.
7. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Accès (Art. 15) : obtenir une copie des données vous concernant.
- Rectification (Art. 16) : corriger des données inexactes depuis votre espace personnel ou par email.
- Suppression / oubli (Art. 17) : demander l'effacement définitif de votre compte et données associées.
- Portabilité (Art. 20) : recevoir vos données dans un format structuré (JSON) lisible par machine.
- Opposition (Art. 21) : vous opposer à un traitement basé sur l'intérêt légitime.
- Limitation (Art. 18) : demander la suspension temporaire du traitement.
Pour exercer ces droits : envoyez un email à bonjour@signamail.fr en précisant la nature de votre demande et en justifiant de votre identité. Réponse sous 30 jours maximum.
En cas de litige non résolu, vous pouvez introduire une réclamation auprès de la CNIL : cnil.fr (Commission Nationale de l'Informatique et des Libertés, autorité de contrôle française).
8. Cookies et traceurs
SignaMail utilise trois catégories de cookies :
Strictement nécessaires (toujours actifs)
- Cookie de session (Supabase Auth) — authentification de l'utilisateur connecté ;
- Cookie technique CSRF — protection contre les attaques inter-sites ;
- Cookie de consentement (
signamail-consent) — mémorise vos préférences cookies, 6 mois.
Ces cookies ne nécessitent pas de consentement préalable au sens de la directive ePrivacy car ils sont indispensables au fonctionnement du service.
Analytique anonyme (opt-in)
PostHog Cloud EU (Allemagne) — mesure d'audience agrégée (pageviews, clics, durée). Aucune identification personnelle. Activé uniquement avec votre consentement explicite.
Replay de session & heatmaps (opt-in)
PostHog Replay — enregistrement anonymisé de vos interactions (mouvements souris, scrolls, clics). Tous les champs de saisie sont masqués automatiquement (mots de passe, emails, etc.). Activé uniquement avec votre consentement explicite.
Aucun cookie publicitaire, aucun pixel de tracking tiers (Facebook, Google Ads), aucun service de remarketing n'est utilisé.
9. Sécurité
- Chiffrement TLS 1.3 sur toutes les communications (HTTPS forcé via HSTS).
- Mots de passe hachés avec bcrypt (Supabase Auth).
- OTP de vérification email à 6 chiffres, hachés en base, expirant en 10 minutes.
- Politique CSP stricte limitant les sources externes de scripts et de connexions.
- Headers de sécurité : HSTS, X-Frame-Options, X-Content-Type-Options, Permissions-Policy.
- Sauvegardes chiffrées au repos (Supabase, fréquence quotidienne).
- Accès aux données limité au personnel autorisé sur base du principe du moindre privilège.
10. Données des collaborateurs ajoutés par un admin
Si l'administrateur d'un compte SignaMail ajoute un collaborateur (membre d'équipe avec une carte pro associée), il est responsable d'informer cette personne de l'existence du traitement et de ses droits. SignaMail considère l'administrateur comme co-responsable du traitement des données des collaborateurs ajoutés.
Tout collaborateur dont les données figurent dans SignaMail peut nous contacter directement à bonjour@signamail.fr pour exercer ses droits.
11. Notification de violation
En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, SignaMail s'engage à notifier la CNIL dans un délai de 72 heures et, si applicable, les personnes concernées dans les meilleurs délais.
12. Modifications
Cette politique peut être mise à jour pour refléter des changements de service ou de réglementation. Les modifications substantielles vous seront notifiées par email avant entrée en vigueur.
13. Contact
Pour toute question relative à la protection de vos données : bonjour@signamail.fr